Feb 10: Auf GitHub gelandete iBoot-Komponente wurde ohne böse Absichten veröffentlicht

In den vergangenen Tagen sorgten neben dem HomePod vor allem Meldungen für Schlagzeilen, dass der Quellcode der iBoot-Komponente von iOS 9 von Unbekannten auf GitHub veröffentlicht wurde. Während dies grundsätzlich ein Problem darstellt, da Hacker und Sicherheitsforscher diesen ansonsten geheimgehaltenen Code auf Schwachstellen prüfen konnten, die für einen Jailbreak oder einen Angriffsvektor genutzt werden könnten. Apple hat jedoch inzwischen verlauten lassen, dass kein Anlass zur Sorge bestehe, da man sich bei seinen Sicherheitsmaßnahmen nicht allein auf die Geheimhaltung des Quellcodes verlasse.

Die Kollegen von Motherboard haben sich nun einmal der Frage angenommen, wie der Code überhaupt auf GitHub gelangen konnte. Bei ihren Recherchen kamen sie in Kontakt mit einer Gruppe von Programmierern, deren Freund in einer recht niedrigen Position bei Apple arbeitet. Von ihm hatten sie den Code bereits im Jahr 2016 bekommen, um nach Möglichkeiten für einen Jaiulbreak zu suchen. Dabei ging es ausdrücklich nicht darum, Apple eins auszuwischen oder einen iOS-Hack zu entwickeln. Man wollte lediglich der Jailbreak-Community helfen. Insgesamt sollen zunächst lediglich fünf Leute in Besitz des Codes gewesen sein. Dieser wurde zudem deutlich reduziert, so dass unter anderem sämtliche Apple-internen Tools aus ihm entfernt wurden.

Während es nicht die Absicht der Gruppe war, den Code öffentlich zu machen, sickerte er (auf welche Art und Weise auch immer) schließlich Anfang dieses Jahres durch. Vor allem fürchtete man dabei die Rechtsmittel, die Apple gegen die Freunde geltend machen könnte, sollte die Geschichte herauskommen.

Bei dem auf GitHub gelandeten Code handelte es sich der Auskunft der Gruppe zufolge nicht um den kompletten Leak, sondern nur um eine Kopie davon, in der einige wichtige Komponenten fehlen. Auch aus diesem Grund gibt es für den Otto-Normal-User keinen Grund zur Besorgnis und Meldungen über den "biggest leak ever" sind deutlich zu weit hergeholt.

Geschrieben von Florian Schimanke am Samstag, 10. Februar 2018 um 11:16 in iOS
Kommentare: (7) Trackbacks: (0)
Tags für diesen Artikel: , , ,
Artikel mit ähnlichen Themen:

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

#1 - Marco 10.02.2018 11:37 - (Antwort)

Wow! "Ohne böse Absicht", soso... der ganze Code-Batzen ist ihm also versehentlich und unbemerkt auf den USB-Stick gesprungen, was?  😊 😊

#1.1 - Marco 10.02.2018 11:40 - (Antwort)

Übrigens: "Dieser wurde zudem deutlich reduziert, so dass unter anderem sämtliche Apple-internen Tools aus ihm entfernt wurden."

Das steht so nicht in der Quelle, im Gegenteil: "He pulled everything, all sorts of internal Apple tools and whatnot."

#2 - Active 10.02.2018 11:39 - (Antwort)

Ist mir auch schonmal passiert..... 😊 😊

#3 - drno 10.02.2018 11:47 - (Antwort)

Das ist ein Kündigungsgrund.

#4 - SOE 10.02.2018 13:03 - (Antwort)

Wie oft sollen ich und andere eigentlich noch sagen, dass die Veröffentlichung von Code nur für die Leute ein Problem darstellt, die glauben, Geheimhaltung wäre ein ausreichender Sicherheitsfaktor?

IST ES NICHT!

Dieses Prinzip ist zum Scheitern verurteilt, siehe E-Postbrief, Fireeye oder ganz aktuell das beA.

The enemy knows the system.
Wer glaubt ein System ist sicher, weil er nichts von der Architektur verrät, glaubt auch, seine Tür wäre sicher, weil er den Schlüssel unter der Fussmatte versteckt hat.

Andersrum geht es natürlich auch:
Der sicherste Verschlüsselungsalgorithmus ist AES. Und zwar, weil er sich in öffentlicher(!) Ausschreibung im Wettbewerb(!) behaupten musste und man so Fehler finden oder direkt verhindern konnte. Das ist weiterhin ein Novum und war damals die Rettung der Computerverschlüsselung.

Flo, gerade Du solltest (durch Apple) doch wissen, dass Geheimhaltung noch so gut sein kann, Leaks trotzdem nicht zu verhindern sind. Für die Politik gilt das natürlich auch, siehe Manhattan oder Echelon. Und ich will jetzt endlich wissen, wieso der Leak "grundsätzlich" ein Problem darstellt.

#4.1 - itsme 10.02.2018 13:21 - (Antwort)

fullack

#5 - Aloha 10.02.2018 17:11 - (Antwort)

Weil Flo kein Techniker ist und auch nur nachplappern kann.


Kommentar schreiben

Hinweis:
Bei der Abgabe eines Kommentars auf meinem Blog werden die in das Formular eingetragenen Daten und unter Umständen auch personenbezogene Daten, wie z.B. die IP-Adresse an meinen Webhosting-Provider (1&1), sowie an den Spamblock-Dienstleister Akismet übertragen und dort gespeichert. Als Pflichtfelder werden ausschließlich der Name (auch Pseudonyme möglich) und der Kommentar benötigt. Die optional angegebene E-Mail-Adresse wird nicht öffentlich dargestellt, sondern dient nur für eventuelle Benachrichtigungen bei Folgekommentaren. Alle Daten werden HTTPS-verschlüsselt übertragen. Mit der Nutzung dieses Formulars wird der Datenübertragung zugestimmt. Weitere Einzelheiten und Informationen dazu gibt es in meiner Datenschutzerklärung.

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.